يتكشف أن عددًا كبيرًا من تطبيقات أندرويد المتاحة على متجر Google Play تدّعي امتلاك ميزات ذكاء اصطناعي تحمل ثغرات خطيرة في إدارة البيانات، ويركز التحقيق على التطبيقات التي تدّعي امتلاك هذه الميزات ووجد عيوبًا واسعة النطاق تتجاوز أخطاء المطورين الفردية.
حجم التسريبات
أجرى باحثو مؤسسة Cybernews تحليلًا شمل نحو 1.8 مليون تطبيق أندرويد وحددوا 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي، وفحصوا الأكواد الداخلية للكشف عن بيانات اعتماد مسربة وإشارات لخدمات سحابية. النتائج كانت صادمة حيث وجدت أن نحو 72% من التطبيقات المحللة تحتوي على أسرار مدمجة مباشرة في الكود، بمعدل تسريب يقارب 5.1 أسرار لكل تطبيق متأثر.
أسرار مدمجة في الكود
إجمالًا، تم رصد 197,092 سرًا فريدًا، مما يبرز انتشار ممارسات الترميز غير الآمنة رغم التحذيرات الطويلة. أكثر من 81% من الأسرار مرتبطة بالبنية السحابية من غوغل مثل معرّفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين.
قواعد بيانات ووحدات تخزين مكشوفة
تمت معدّلات إيجاد 26,424 نقطة نهاية لخدمات غوغل كلاود مدمجة في الأكواد، وكانت نحو ثُلثيها مرتبطة ببنية تحتية لم تعد موجودة. من النطاق المتبقي، بقيت 8,545 أحواض تخزين تحتاج إلى مصادقة، بينما كانت مئات أخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، ما قد يعرض أكثر من 200 مليون ملف بإجمالي يصل إلى نحو 730 تيرابايت من بيانات المستخدمين.
قواعد بيانات Firebase غير محميّة
كشفت الدراسات عن 285 قاعدة بيانات Firebase بدون ضوابط مصادقة، حيث تسربت على الأقل 1.1 جيجابايت من بيانات المستخدمين. وفي 42% من هذه القواعد ظهرت جداول نموذجية تشير إلى اختراق سابقة من قبل مهاجمين، كما لاح وجود حسابات إدارية مرتبطة بعناوين بريد إلكتروني تخص المهاجمين، ما يشير إلى أن الاستغلال كان قائمًا وليس مجرد احتمال نظري، مع استمرار وجود مؤشرات على التسلل في المخازن رغم وجود علامات واضحة على الاختراق.
مفاتيح الذكاء الاصطناعي وأدوات الدفع
رغم القلق حول ميزات الذكاء الاصطناعي، كانت مفاتيح واجهات برمجة تطبيقات نماذج لغوية كبيرة غير شائعة نسبيًا، مع وجود بعض المفاتيح المرتبطة بمزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude. في التكوينات المعتادة، تسمح هذه المفاتيح بكل بساطة بتقديم طلبات جديدة، لكنها لا تمنح وصولًا للمحادثات المخزنة أو المطالبات السابقة. أما أخطر الثغرات فارتبطت بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح سيطرة كاملة على أنظمة الدفع، إضافة إلى بيانات اعتماد أخرى تتيح الوصول إلى منصات الاتصالات والتحليلات وبيانات العملاء، ما يتيح انتحال هوية التطبيقات أو استخراج البيانات دون إذن.
